✔️ #آسیب_پذیری_های بحرانی SSL,TSL
◇OpenSSL Padding Oracle (CVE-2016-2107)
◇ROBOT (CVE-2017-13099)
◇Drown (CVE-2016-0800)
◇POODLE (CVE-2014-3566)
◇RC4 (CVE-2013-2566, CVE-2015-2808)
◇Heartbleed (CVE-2014-0160)
◇CCS (CVE-2014-0224)
◇CRIME, TLS (CVE-2012-4929)
◇FREAK (CVE-2015-0204)
◇Secure Renegotiation (CVE-2009-3555)
-> میتوانید با مراجعه به وبسایت های ارائه دهنده اکسپلویت ها، اکسپلویت هر یک را دریافت کنید.
#security #ssl @unixmens
◇OpenSSL Padding Oracle (CVE-2016-2107)
◇ROBOT (CVE-2017-13099)
◇Drown (CVE-2016-0800)
◇POODLE (CVE-2014-3566)
◇RC4 (CVE-2013-2566, CVE-2015-2808)
◇Heartbleed (CVE-2014-0160)
◇CCS (CVE-2014-0224)
◇CRIME, TLS (CVE-2012-4929)
◇FREAK (CVE-2015-0204)
◇Secure Renegotiation (CVE-2009-3555)
-> میتوانید با مراجعه به وبسایت های ارائه دهنده اکسپلویت ها، اکسپلویت هر یک را دریافت کنید.
#security #ssl @unixmens
همانطور که می دانید یکی از روش های ایمن سازی سرویس و یا سرور خود، استفاده از گواهینامه ی امنیتی بر روی دامنه ی مورد استفاده ی خود می باشد. هنگامی که شما بخواهید یک گواهینامه ی امنیتی SSL از ارائه دهنده ی خدمات خود خریداری کنید، نیاز هست تا یک CSR که سر نام واژه های Certificate Signing Request می باشد ایجاد کنید و برای ارائه دهنده ی خدمات خود ارسال کنید.
برای ساخت CSR روش های گوناگونی وجود دارد که در این مطلب قصد داریم تا با استفاده از ابزار openssl یک CSR ایجاد کنیم. اگر بسته ی openssl بر روی سیستم شما نصب نیست کافیست تا با دستور پایین آن را نصب کنید . #ssl @unixmens
برای ساخت CSR روش های گوناگونی وجود دارد که در این مطلب قصد داریم تا با استفاده از ابزار openssl یک CSR ایجاد کنیم. اگر بسته ی openssl بر روی سیستم شما نصب نیست کافیست تا با دستور پایین آن را نصب کنید . #ssl @unixmens
Academy and Foundation unixmens | Your skills, Your future
Photo
مفهوم ssl و tls :
اگر به طور منظم با آن ssl , tls کار نکنید، احتمال زیادی وجود دارد که تفاوت بین SSL (لایه های سوکت های امن) و TLS (امنیت لایه حمل و نقل) را ندانید.
تاریخچه مختصری از SSL و TLS
ا SSL و TLS هر دو پروتکلهای رمزنگاری هستند که احراز هویت و رمزگذاری دادهها را بین سرورها، ماشینها و برنامههایی که بر روی یک شبکه کار میکنند (مثلاً کلاینت در حال اتصال به وب سرور) ارائه میکنند.
در واقع، SSL تنها حدود 25 سال از عمرش می گذرد. اما این پروتکل قدیمی است. اولین نسخه SSL، نسخه 1.0، اولین بار در سال 1995 توسط نت اسکیپ توسعه یافت، اما هرگز منتشر نشد زیرا با نقص های امنیتی جدی مواجه بود. SSL 2.0 خیلی بهتر نبود، بنابراین فقط یک سال بعد SSL 3.0 منتشر شد. باز هم نقص های امنیتی جدی داشت.
در آن مرحله، بچههای شرکت Consensus Development بر روی آن کار کردند و TLS 1.0 را توسعه دادند. TLS 1.0 به طرز باورنکردنی شبیه SSL 3.0 بود – در واقع بر اساس آن ساخته شده بود – اما هنوز آنقدر متفاوت بود که قبل از استفاده از SSL 3.0 نیاز به دانگرید داشت. همانطور که سازندگان پروتکل TLS نوشتند:
تفاوتهای بین این پروتکل و SSL 3.0 چشمگیر نیست، اما به اندازهای قابل توجه است که TLS 1.0 و SSL 3.0 با هم کار نمیکنند.
با توجه به آسیبپذیریهای شناخته شده و قابل بهرهبرداری، تنزل به SSL 3.0 همچنان خطرناک بود. تنها کاری که یک مهاجم برای هدف قرار دادن یک وب سایت باید انجام دهد، تعغیر دادن پروتکل به SSL 3.0 بود. . این در نهایت بیانگر مشکلات TLS 1.0 بود.
ا TLS 1.1 هفت سال بعد در سال 2006 منتشر شد و در سال 2008 با TLS 1.2 جایگزین شد. این به پذیرش TLS 1.1 آسیب زد زیرا بسیاری از وب سایت ها به سادگی از 1.0 به TLS 1.2 ارتقا یافتند. اکنون در TLS 1.3 هستیم که در سال 2018 پس از 11 سال و نزدیک به 30 پیش نویس IETF نهایی شد.
ا TLS 1.3 نسبت به نسخه های قبلی خود پیشرفت های قابل توجهی انجام داد و در حال حاضر بازیگران اصلی در سراسر اینترنت برای گسترش آن تلاش می کنند. مایکروسافت، اپل، گوگل، موزیلا و کلودفلر همگی برنامههای خود را برای منسوخ کردن هر دو نسخه TLS 1.0 و TLS 1.1 در ژانویه 2020 اعلام کردند و TLS 1.2 و TLS 1.3 را به تنها بازی در شهر تبدیل کردند.
به هر حال، ما در چند دهه گذشته از TLS استفاده کردهایم. در این مرحله، اگر هنوز از SSL استفاده میکنید، سالها عقب ماندهاید، بهطور استعاری در دورهای زندگی میکنید که مردم هنوز از خطوط تلفن برای برقراری ارتباط با اینترنت استفاده میکنند.
#ssl #tls #security
https://t.iss.one/unixmens
اگر به طور منظم با آن ssl , tls کار نکنید، احتمال زیادی وجود دارد که تفاوت بین SSL (لایه های سوکت های امن) و TLS (امنیت لایه حمل و نقل) را ندانید.
تاریخچه مختصری از SSL و TLS
ا SSL و TLS هر دو پروتکلهای رمزنگاری هستند که احراز هویت و رمزگذاری دادهها را بین سرورها، ماشینها و برنامههایی که بر روی یک شبکه کار میکنند (مثلاً کلاینت در حال اتصال به وب سرور) ارائه میکنند.
در واقع، SSL تنها حدود 25 سال از عمرش می گذرد. اما این پروتکل قدیمی است. اولین نسخه SSL، نسخه 1.0، اولین بار در سال 1995 توسط نت اسکیپ توسعه یافت، اما هرگز منتشر نشد زیرا با نقص های امنیتی جدی مواجه بود. SSL 2.0 خیلی بهتر نبود، بنابراین فقط یک سال بعد SSL 3.0 منتشر شد. باز هم نقص های امنیتی جدی داشت.
در آن مرحله، بچههای شرکت Consensus Development بر روی آن کار کردند و TLS 1.0 را توسعه دادند. TLS 1.0 به طرز باورنکردنی شبیه SSL 3.0 بود – در واقع بر اساس آن ساخته شده بود – اما هنوز آنقدر متفاوت بود که قبل از استفاده از SSL 3.0 نیاز به دانگرید داشت. همانطور که سازندگان پروتکل TLS نوشتند:
تفاوتهای بین این پروتکل و SSL 3.0 چشمگیر نیست، اما به اندازهای قابل توجه است که TLS 1.0 و SSL 3.0 با هم کار نمیکنند.
با توجه به آسیبپذیریهای شناخته شده و قابل بهرهبرداری، تنزل به SSL 3.0 همچنان خطرناک بود. تنها کاری که یک مهاجم برای هدف قرار دادن یک وب سایت باید انجام دهد، تعغیر دادن پروتکل به SSL 3.0 بود. . این در نهایت بیانگر مشکلات TLS 1.0 بود.
ا TLS 1.1 هفت سال بعد در سال 2006 منتشر شد و در سال 2008 با TLS 1.2 جایگزین شد. این به پذیرش TLS 1.1 آسیب زد زیرا بسیاری از وب سایت ها به سادگی از 1.0 به TLS 1.2 ارتقا یافتند. اکنون در TLS 1.3 هستیم که در سال 2018 پس از 11 سال و نزدیک به 30 پیش نویس IETF نهایی شد.
ا TLS 1.3 نسبت به نسخه های قبلی خود پیشرفت های قابل توجهی انجام داد و در حال حاضر بازیگران اصلی در سراسر اینترنت برای گسترش آن تلاش می کنند. مایکروسافت، اپل، گوگل، موزیلا و کلودفلر همگی برنامههای خود را برای منسوخ کردن هر دو نسخه TLS 1.0 و TLS 1.1 در ژانویه 2020 اعلام کردند و TLS 1.2 و TLS 1.3 را به تنها بازی در شهر تبدیل کردند.
به هر حال، ما در چند دهه گذشته از TLS استفاده کردهایم. در این مرحله، اگر هنوز از SSL استفاده میکنید، سالها عقب ماندهاید، بهطور استعاری در دورهای زندگی میکنید که مردم هنوز از خطوط تلفن برای برقراری ارتباط با اینترنت استفاده میکنند.
#ssl #tls #security
https://t.iss.one/unixmens
👍2
Academy and Foundation unixmens | Your skills, Your future
مفهوم ssl و tls : اگر به طور منظم با آن ssl , tls کار نکنید، احتمال زیادی وجود دارد که تفاوت بین SSL (لایه های سوکت های امن) و TLS (امنیت لایه حمل و نقل) را ندانید. تاریخچه مختصری از SSL و TLS ا SSL و TLS هر دو پروتکلهای رمزنگاری هستند که احراز هویت…
به طور سنتی، زمانی که احراز هویت و تعویض کلید انجام می شود، دست دادن شامل چندین سفر رفت و برگشت است. با SSL، این تاخیر به اتصالات را میتوان اضافه کرد. این افسانه که SSL/HTTPS سرعت وبسایت شما را کند میکند، از آنجا شروع شد. هر تکرار جدید پروتکل برای کاهش تأخیر اضافه شده توسط دست دادن کار می کند. با TLS 1.2، ثابت شد که HTTPS به دلیل سازگاری با HTTP/2 در واقع سریعتر از HTTP است.
ا TLS 1.3 در واقع hand shaking را حتی بیشتر بهبود بخشیده است. اکنون می توان آن را با یک رفت و برگشت انجام داد و بخشی از راه انجام این کار با کاهش تعداد مجموعههای رمزی بود که از چهار الگوریتم به دو الگوریتم پشتیبانی میکرد.
اکنون این به سادگی یک الگوریتم رمزگذاری انبوه (متقارن/جلسه) و یک الگوریتم هش است. مذاکرات تبادل کلید و امضای دیجیتال حذف شده است. تبادل کلید اکنون با استفاده از خانواده Diffie-Hellman انجام میشود، که هم به صورت پیشفرض محرمانهسازی کامل را امکانپذیر میکند و هم به کلاینت و سرور اجازه میدهد تا بخشی از راز مشترک خود را در اولین تعامل خود ارائه دهند. اولین تعامل هم اکنون رمزگذاری شده است و در را بر روی یک بردار حمله احتمالی می بندد.
https://blog.cloudflare.com/introducing-tls-1-3/
غیرفعال کردن SSL 2.0 و 3.0 و TLS 1.0
اگر مطمئن نیستید که سرورهای شما همچنان از پروتکل های SSL پشتیبانی می کنند، می توانید به راحتی با استفاده از تست سرور SSL آن را بررسی کنید. برای اطلاع از نحوه غیرفعال کردن SSL 2.0 و 3.0 در انواع سرورهای محبوب، از جمله Apache، NGINX و Tomcat، در ادامه خواهم نوشت .
#ssl #security #tls
ا TLS 1.3 در واقع hand shaking را حتی بیشتر بهبود بخشیده است. اکنون می توان آن را با یک رفت و برگشت انجام داد و بخشی از راه انجام این کار با کاهش تعداد مجموعههای رمزی بود که از چهار الگوریتم به دو الگوریتم پشتیبانی میکرد.
اکنون این به سادگی یک الگوریتم رمزگذاری انبوه (متقارن/جلسه) و یک الگوریتم هش است. مذاکرات تبادل کلید و امضای دیجیتال حذف شده است. تبادل کلید اکنون با استفاده از خانواده Diffie-Hellman انجام میشود، که هم به صورت پیشفرض محرمانهسازی کامل را امکانپذیر میکند و هم به کلاینت و سرور اجازه میدهد تا بخشی از راز مشترک خود را در اولین تعامل خود ارائه دهند. اولین تعامل هم اکنون رمزگذاری شده است و در را بر روی یک بردار حمله احتمالی می بندد.
https://blog.cloudflare.com/introducing-tls-1-3/
غیرفعال کردن SSL 2.0 و 3.0 و TLS 1.0
اگر مطمئن نیستید که سرورهای شما همچنان از پروتکل های SSL پشتیبانی می کنند، می توانید به راحتی با استفاده از تست سرور SSL آن را بررسی کنید. برای اطلاع از نحوه غیرفعال کردن SSL 2.0 و 3.0 در انواع سرورهای محبوب، از جمله Apache، NGINX و Tomcat، در ادامه خواهم نوشت .
#ssl #security #tls
The Cloudflare Blog
Introducing TLS 1.3
The encrypted Internet is about to become a whole lot snappier. When it comes to browsing, we’ve been driving around in a beat-up car from the 90s for a while. Little does anyone know, we’re all about to trade in our station wagons for a smoking new sports…
❤2